Kaspersky Threats — Backdoor.Win32.Lotok.sgb

Kategorie: Backdoor

Backdoors sollen bösartigen Benutzern die Fernsteuerung über einen infizierten Computer ermöglichen. In Bezug auf die Funktionalität ähneln Backdoors vielen Verwaltungssystemen, die von Softwareentwicklern entworfen und vertrieben werden.

Diese Arten von bösartigen Programmen ermöglichen es, alles zu tun, was der Autor auf dem infizierten Computer möchte: Dateien senden und empfangen, Dateien starten oder löschen, Nachrichten anzeigen, Daten löschen, den Computer neu starten usw.

Die Programme in dieser Kategorie werden häufig verwendet, um eine Gruppe von Opfercomputern zu vereinigen und ein Botnet- oder Zombie-Netzwerk zu bilden. Dies gibt bösartigen Benutzern die zentrale Kontrolle über eine Armee von infizierten Computern, die dann für kriminelle Zwecke verwendet werden können.

Es gibt auch eine Gruppe von Backdoors, die sich über Netzwerke verbreiten und andere Computer infizieren können, wie Net-Worms es tun. Der Unterschied ist, dass sich solche Backdoors nicht automatisch verbreiten (wie Net-Worms), sondern nur auf einen speziellen "Befehl" von dem bösartigen Benutzer, der sie kontrolliert.

Mehr Informationen

Plattform: Win32

Win32 ist eine API auf Windows NT-basierten Betriebssystemen (Windows XP, Windows 7 usw.), die die Ausführung von 32-Bit-Anwendungen unterstützt. Eine der am weitesten verbreiteten Programmierplattformen der Welt.

Familie: Backdoor.Win32.Lotok

No family description

Examples

0799914C43C8FE22468BD9BC5D9084C7
3507BE62C7FEC405ECFF81C240B429F8
0B9C6863404D8710554B52C8E35A7224
68236C48B75F51FB3D9F5F7F769CA23D
A808BB249BE1D6979A7AA0B5B06F16B5

Tactics and Techniques: Mitre*

TA0005

Defense Evasion

The adversary is trying to avoid being detected.

Defense Evasion consists of techniques that adversaries use to avoid detection throughout their compromise. Techniques used for defense evasion include uninstalling/disabling security software or obfuscating/encrypting data and scripts. Adversaries also leverage and abuse trusted processes to hide and masquerade their malware. Other tactics’ techniques are cross-listed here when those techniques include the added benefit of subverting defenses.

T1564.001

Hide Artifacts: Hidden Files and Directories

Adversaries may set files and directories to be hidden to evade detection mechanisms. To prevent normal users from accidentally changing special files on a system, most operating systems have the concept of a ‘hidden’ file. These files don’t show up when a user browses the file system with a GUI or when using normal commands on the command line. Users must explicitly ask to show the hidden files either via a series of Graphical User Interface (GUI) prompts or with command line switches (dir /a for Windows and ls –a for Linux and macOS).

On Linux and Mac, users can mark specific files as hidden simply by putting a “.” as the first character in the file or folder name (Citation: Sofacy Komplex Trojan) (Citation: Antiquated Mac Malware). Files and folders that start with a period, ‘.’, are by default hidden from being viewed in the Finder application and standard command-line utilities like “ls”. Users must specifically change settings to have these files viewable.

Files on macOS can also be marked with the UF_HIDDEN flag which prevents them from being seen in Finder.app, but still allows them to be seen in Terminal.app (Citation: WireLurker). On Windows, users can mark specific files as hidden by using the attrib.exe binary. Many applications create these hidden files and folders to store information so that it doesn’t clutter up the user’s workspace. For example, SSH utilities create a .ssh folder that’s hidden and contains the user’s known hosts and keys.

Adversaries can use this to their advantage to hide files and folders anywhere on the system and evading a typical user or system analysis that does not incorporate investigation of hidden files.